HeadFlash

Privacy

Prywatność pod lupą: AI, dane i regulacje

Nowy Jork zmusza boty do ujawnienia się, Signal szyfruje workflow, a dane z Pokémon Go trafiają do wojska.

Posłuchaj

Nowy Jork uchwala ustawę zmuszającą boty AI do ujawniania się przed newsowymi serwisami

Stan Nowy Jork przyjął ustawę A11292, znaną jako New York Stealth Crawler Prohibition Act, która nakłada na web crawlerujące boty obowiązek identyfikacji przed dostępem do stron wydawców prasowych. Ustawa przeszła przez obie izby legislatury w niespełna miesiąc od wprowadzenia i trafiła do gubernator Kathy Hochul. Za każde naruszenie przewidziano cywilną karę w wysokości do 15 000 dolarów dziennie. Ustawa wymaga od crawlera podania w user-agent string tożsamości oprogramowania, jego wersji oraz nazwy firmy, a także ujawnienia konkretnego charakteru i celu działania, w tym wszystkich możliwych zastosowań treści. Za stealth crawler uznaje się bota, który nie spełnia tych wymogów i działa na szkodę wydawcy. Definicja covered news source obejmuje wszelkie publikacje cyfrowe spełniające cztery kryteria, w tym minimalną liczbę 1000 aktywnych użytkowników miesięcznie w stanie Nowy Jork. Egzekwowaniem zajmie się prokurator generalny stanu, a wydawcy mogą sami występować do sądu o identyfikację sprawcy naruszenia. Ustawa stanowi odpowiedź na rosnącą liczbę przypadków, w których boty AI podszywają się pod ludzkich użytkowników, ignorując pliki robots.txt i wykradając treści bez zgody.

New York passes bill forcing AI crawlers to identify themselves to news sites →

Weterani Signal Protocol budują infrastrukturę do szyfrowania Slacka, Google Docs i Discorda

Zespół developerów, w tym współtwórca protokołu Signal oraz badacze z Microsoftu i Harvardu, pracuje nad otwartoźródłowym projektem Encrypted Spaces, który ma dostarczyć narzędzia do end-to-end encryption dla aplikacji współpracy grupowej. Projekt jest w fazie Research Preview, a kod już znajduje się na GitHubie. W odróżnieniu od gotowych aplikacji jak Proton, Encrypted Spaces to infrastruktura dla developerów, którzy mają budować własne szyfrowane aplikacje. Wykorzystuje zero-knowledge proofs, aby serwer mógł aktualizować użytkowników o zmianach w dokumencie bez dostępu do odszyfrowanych danych. Wraz z bazową architekturą udostępniono demo o nazwie Spaces. Twórcy podkreślają, że projekt ma przeciwdziałać ryzyku związanemu z centralizacją usług w chmurze. Eksperci przewidują, że Encrypted Spaces wywoła kolejną rundę sporów między rządami a twórcami szyfrowania, podobnie jak wcześniejsze konflikty w Wielkiej Brytanii dotyczące E2EE. Prezes Signal Meredith Whittaker ponownie zagroziła opuszczeniem brytyjskiego rynku, jeśli przepisy zmuszą firmę do osłabienia szyfrowania.

Signal Veterans Want to Encrypt Slack, Google Docs, and Basically Every Other App →

Hongkong chce bezpiecznego przechowywania danych ride-hailing w imię bezpieczeństwa narodowego

Władze transportowe Hongkongu zapowiedziały aktywne poszukiwanie rozwiązań dla bezpiecznego przechowywania danych z platform ride-hailing, które wejdą w życie wraz z nowymi regulacjami od sierpnia. Sekretarz ds. Transportu Mable Chan podkreśliła, że priorytetem jest ochrona danych i bezpieczeństwo narodowe, ale nie ujawniła, czy dane będą musiały być przechowywane w mieście. Nowe licencje dla operatorów będą zawierać klauzule dotyczące ochrony bezpieczeństwa narodowego. Dane osobowe będą mogły być wykorzystywane wyłącznie do świadczenia usług ride-hailing, a platformy będą musiały uzyskać zgodę klientów. Rząd proponuje limit 10 000 pojazdów na nowy system licencyjny, co według Ubera stanowi zaledwie jedną trzecią ich aktywnych kierowców. Posłowie wyrazili obawy, że dane o podróżach polityków mogą stanowić ryzyko dla bezpieczeństwa, a serwery umieszczone poza Hongkongiem mogą zostać sparaliżowane w razie konfliktów geopolitycznych.

Hong Kong eyes secure storage of ride-hailing data for national security →

Liderzy afrykańscy ostrzegają przed cyfrową kolonizacją: potrzeba suwerenności danych

W opublikowanym artykule rektorzy Uniwersytetu Johannesburg i Uniwersytetu Sol Plaatje wzywają Afrykę do pilnego budowania suwerenności danych i ochrony kultury przed tym, co nazywają cyfrową konferencją berlińską. Wskazują, że Afrika stanowi 17% populacji świata, ale tylko 1,5% globalnej gospodarki kreatywnej. Modele AI, trenowane głównie na zachodnich danych, utrwalają rasistowskie i seksualizowane stereotypy. Afrykańska muzyka, moda i projekty są wykorzystywane bez zgody i wynagrodzenia. Postulują wprowadzenie odpowiedników oznaczeń geograficznych dla AI, które chroniłyby kulturowe pochodzenie. Wzywają do wspólnego stanowiska Afrykańskiej Kontynentalnej Strefy Wolnego Handlu w sprawie wymogów dotyczących danych treningowych. Podkreślają, że języki afrykańskie są niedostatecznie reprezentowane w AI, a rozwiązanie leży w tworzeniu lokalnych zbiorów danych, jak robią to projekty Masakhane i Lelapa AI. Autorzy cytują Thomasa Sankarę: „Kto cię karmi, ten cię kontroluje” – i odnoszą to do danych, kultury i kodu.

Africa Must Build Data Sovereignty and Cultural Protection Now to Avoid a ‘Digital Berlin Conference’, Say UJ and Sol Plaatje University Leaders →

Indyjski kryptograf ujawnia teoretyczne luki w EVM – apel o większą transparentność

Profesor Mridul Nandi z Indian Statistical Institute w Kolkacie wygłosił wykład na temat transparentności systemu elektronicznych maszyn do głosowania w Indiach. Wskazał, że algorytmy wypalone w maszynach na długo przed wyborami mogą zostać zaprogramowane tak, aby przekazywać głosy oddane na innych kandydatów partii rządzącej. Opisał dwa scenariusze manipulacji: pierwszy wykorzystuje komunikację między jednostką sterującą a VVPAT, drugi opiera się na sekwencji naciskania przycisków. Obie metody są teoretycznie możliwe, choć trudne technicznie. Nandi zaproponował rozwiązanie w postaci publikowania hash value każdej jednostki sterującej na stronie komisji wyborczej, co pozwoliłoby wykryć manipulację po zamknięciu głosowania. Zauważył też, że losowe liczenie tylko pięciu VVPAT-ów na okręg daje 90% szans na uniknięcie wykrycia przy manipulacji pięcioma maszynami, czyli potencjalnie 5000 głosów. Podkreślił, że wykład dotyczył możliwości teoretycznych, a nie konkretnych wyborów, ale wezwał do wprowadzenia protokołów zwiększających transparentność.

The transparency question at the heart of the EVM debate →

Dane z Pokémon Go wykorzystane do trenowania AI dla wojskowych dronów

Skanowanie otoczenia przez graczy Pokémon Go w ramach opcjonalnej funkcji z 2021 roku posłużyło do trenowania modeli przestrzennych AI Niantic. Technologia ta została połączona z oprogramowaniem amerykańskiego kontrahenta obronnego Vantor, które służy do nawigacji bez GPS. W grudniu 2025 roku Niantic Spatial, wydzielona spółka Niantic, ogłosiła partnerstwo z Vantor, które tworzy oprogramowanie do wykrywania przestrzennego dla dronów, w tym wojskowych UAV. Łączą one system pozycjonowania wizualnego Niantic z oprogramowaniem Raptor i danymi satelitarnymi Vantor. Testy wykazały redukcję błędów o 70% i dokładność około 1,5 metra. Skanowanie z gry nie zostało bezpośrednio przekazane Vantor, ale posłużyło do trenowania modeli podstawowych Niantic. W lutym 2026 roku Vantor zdobył kontrakt US Army wart do 217 milionów dolarów w ramach programu One World Terrain. Zakłócanie sygnałów GPS jest już stosowane w wojnach na Ukrainie i w Iranie. Niantic w marcu 2025 sprzedało swoją część gamingową za 3,5 miliarda dolarów, a Niantic Spatial działa jako niezależna firma.

Pokémon Go data helped train AI now linked to military drones →

Chińscy hakerzy zaatakowali serwery REDCap, kradnąc dane medyczne

Google Threat Intelligence Group ujawniło kampanię szpiegowską przypisywaną chińskiej grupie UNC6508, która wykorzystała podatne serwery REDCap do wdrożenia customowego malware InfiniteRed. Atak wymierzony w instytucję medyczną w Ameryce Północnej rozpoczął się we wrześniu 2023 roku i trwał przez ponad rok, aż do listopada 2025. Trzy miesiące po kompromitacji hakerzy wdrożyli złośliwe oprogramowanie składające się z modułu utrzymania, zbieracza danych logowania i backdoora. Login harvester przechwytywał nazwy użytkowników i hasła, a backdoor pozwalał na wykonywanie poleceń, przesyłanie plików, zapytania SQL i kradzież danych. Nowatorską techniką było wykorzystanie legalnej funkcji content compliance rules w narzędziach chmurowych do eksfiltracji danych e-mailem. Napastnicy wysyłali dane na konto Gmail, które zostało już zablokowane przez Google. Poszukiwali informacji związanych z badaniami medycznymi, zaawansowanymi technologiami, wojskiem i polityką. Google poinformowało wiele organizacji w USA i Kanadzie o kompromitacji. Zaleca się aktualizację REDCap do najnowszych wersji oraz stosowanie uwierzytelniania wieloskładnikowego.

Chinese hackers breach REDCap servers, steal medical research →